выбрать объект защиты(пк, сервер, смартфон, любой другой)который нужно защитить и расписать по угрозам

АПКШ Континент позволяет реализовывать различные схемы построения систем защиты сетей. В состав комплекса входят следующие компоненты:Криптошлюз "Континент" устройство, устанавливаемое на границе сети центрального офиса или филиала. Сочетает функции межсетевого экрана, криптографического модуля и маршрутизатора. Центр управления сетью "Континент" (ЦУС) программное обеспечение для централизованного управления и мониторинга всех компонентов АПКШ Континент. Устанавливается на Криптошлюз "Континент", расположенный в центральном офисе. ЦУС обеспечивает дистанционное управление ключевой информацией и собирает журналы регистрации событий компонентов комплекса.Программа управления сетью "Континент" (ПУ) удобный графический инструмент для администрирования комплекса. ПУ устанавливается на один или несколько компьютеров в защищаемых сегментах сети. ПУ обеспечивает изменение настроек, оперативное отображение состояния всех криптошлюзов, анализ системных журналов и т.п.С помощью функционала МЭ АПКШ Континент настраивается фильтрация сетевых пакетов, разрешающую прохождение только необходимого сетевого трафика. Возможности АПКШ Континент позволяют избирательно настраивать шифрование сетевого трафика, что позволяет гибко конфигурировать систему криптографической защиты информации и прохождение информационных потоков через криптошлюзы.Подсистема анализа защищенностиПодсистема анализа защищенности позволяет производить поиск различных уязвимостей на сервере и рабочих станциях с ИСПДн, а также других сетевых узлах. В качестве сканера уязвимостей используется ПО XSpider 7.8.ПО XSpider 7.7 ProfessionalEdition обеспечивает:идентификацию сервисов на случайных портах;эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH);обработку RPC-сервисов с их идентификацией;проверку слабости парольной защиты;проведение проверок на нестандартные DoS-атаки;периодическое добавление сигнатур новых уязвимостей.Подсистема анализа защищенности функционирует на мобильной рабочей станции (ноутбуке) и подключается к сети только на момент проверки.При проведении проверок выбирается профиль сканирования DefaultOff.prf с включенной возможностью сканирования узлов, не отвечающих на эхо-запросы по протоколу ICMP. При проведении проверок информационной системы передачи данных в качестве сканируемых узлов указывается диапазон адресов 192.168.хх.ххх – 192.168.хх.ххх. 2.4.Организационные решенияОрганизационные мероприятия осуществляются на всех стадиях жизненного цикла ИСПДн. К организационным мероприятиям относятся: мероприятия по ведению организационно-распорядительных документов, регламентирующих работу персонала с конфиденциальной информацией, а также, разделение зон ответственности и распределение обязанностей должностных лиц; осуществление постоянного контроля соблюдения режима конфиденциальности и выполнения соответствующих инструкций. Виды организационных мероприятий: Основные организационные мероприятия по созданию и поддержанию функционирования СЗПДн, можно разделить на:разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия; периодические (проводимые через определенное время) мероприятия; постоянные (проводимые непрерывно) мероприятия; мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой системе или внешней среде (по необходимости).С целью учета носителей конфиденциальной информации и контроля состояния ИБ ИСПДн рекомендуется также вести следующие специальные журналы: журнал учета магнитных, оптических и иных носителей конфиденциальной информации; журнал учета нарушений, ликвидации их причин и последствий; журнал резервного копирования. Все носители документированной информации (на бумажной, магнитной, оптической, иной основе), используемые в процессе обработки информации в ИСПДн, подлежат учету в подразделении, обрабатывающем эту информацию. Учет съемных носителей информации на магнитной или оптической основе, а также распечаток текстовой, графической и иной информации на бумажной или пластиковой (прозрачной) основе осуществляется по журналам установленной формы, в том числе автоматизировано с использованием СВТ. Временно неиспользуемые носители информации (в т. ч. носители резервных копий системного и прикладного ПО, данных, архивные копии конфигураций сетевого и телекоммуникационного оборудования) должны храниться в местах, недоступных для посторонних лиц. Весь восстановительный ремонт ТС должен производиться в сервисных центрах, сертифицированных производителем оборудования. При невозможности отправки оборудования в сервисный центр, ремонт должен производиться ремонтной бригадой на месте. Перед отправкой оборудования в ремонт администратор информационной безопасности должен принять меры по гарантированному уничтожению конфиденциальной информации, содержащейся на данном оборудовании.С целью предотвращения физического НСД к ресурсам АС рекомендуется:оснастить помещения, в которых располагаются СВТ техническими средствами охраны (охранная сигнализация, система контроля и управления доступом, видеонаблюдение);оснастить помещения, в которых располагаются СВТ решетками на окнах, а также средствами, защищающими от утечек видовой информации из данных помещений (жалюзи, шторы).Неавтоматизированную обработку ПДн ИСПДн необходимо осуществлять в соответствии с ПП 687 – должен быть определен порядок учета, выдачи, использования и хранения документов, содержащих ПДн, и других материальных носителей ПДн (которые в свою очередь должны фиксироваться в журнале учета), необходимо утвердить места хранения носителей.Рекомендуем рассмотреть возможность назначения на Предприятии структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн, и администратора безопасности.Рекомендуется также провести внутреннюю проверку автоматизированных рабочих мест на предмет выявления нелицензионного программного обеспечения. Использование такого ПО может стать препятствием для внедрения СЗПДн, поэтому все нелицензионное ПО, установленное на АРМ, участвующих в обработке ПДн, необходимо заменить на лицензионное.Помимо разовых (однократно проводимых и повторяемых только при полном пересмотре принятых решений) организационных мероприятий, в ИСПДн также необходимо проводить ряд периодических мероприятий, таких как:- внутренние проверки на предмет выявления изменений в режиме обработки и защиты; анализ состояния СЗПДн и оценку эффективности мер и средств защиты (анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы. На основе полученной в результате такого анализа информации принимаются необходимые меры по совершенствованию СЗПДн, по пересмотру правил разграничения доступа пользователей к ресурсам ИСПДн).Постоянно проводимые мероприятия в ИСПДн должны включать: поддержание в актуальном состоянии нормативно-организационных документов, непрерывное поддержание функционирования и управления используемых СЗИ, а также поддержание достаточного уровня защиты ИСПДн.В составе ИСПДн необходимо предусмотреть наличие сотрудников, выполняющих функции по сопровождению средств защиты информации, – специалистов, ответственных за работоспособность СЗИ. Обслуживание ИСПДн предполагает наличие двух ролей:Администратор информационной безопасности (ИБ);Администратор ИСПДн.Администратор ИБ выполняет следующие виды работ:контроль выполнения технологических процедур по предоставлению прав доступа к аппаратным и программным средствам, а также к информационным ресурсам;анализ данных, предоставленных средствами учета и аудита;администрирование средств защиты информации;реагирование на попытки НСД к информации;осуществление контроля за состоянием информационной безопасности;подготовка организационно-распорядительной документации к СЗПДн.Администратор ИСПДн выполняет следующие виды работ:установка, настройка и эксплуатация средств защиты информации;своевременное обновление версий программного обеспечения средств защиты и баз данных, используемых средствами защиты;выполнение технологических процедур по предоставлению прав доступа к аппаратным и программным средствам, а также к информационным ресурсам.2.5.Персональные данные в РФ. Общие положения.Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).Данное определение является ключевым в законодательстве РФ в отношении обработки персональных данных и напрямую вытекает из терминологии 152-ФЗ "О персональных данных".В мировой практике термин "персональные данные" впервые появился в 1976 году, когда комитетом министров Совета Европы была разработана Конвенция "О защите физических лиц при обработке персональных данных, осуществляемая на международном уровне". В начале 2000-х в России была ратифицирована данная конвенция, после чего началось создание нормативно-правовой базы в отношении использования ПДн. И наконец в 2006 году Государственной думой РФ был принят закон - Федеральный закон №152 "О персональных данных", который регламентировал вопросы касающиеся: получения, обработки, передачи, а также защиты ПДн. В 2011 году в ФЗ 152 был внесен ряд значительных изменений, направленных на конкретизацию отдельных пунктов и дополнение мер по обеспечению безопасности ПДн.Основные тезисы ФЗ 152:оператор обязан: подать уведомление об обработке ПДн в уполномоченный орган, классифицировать ПДн, обеспечить приведение ИСПДн в соответствие с требованиями ФЗ 152, разработать политику в отношении ПДн;контроль за соблюдением требований ФЗ 152 возлагается на: Роскомнадзор - в части правомерной обработки ПДн, ФСБ - в части использования средств криптографии, ФСТЭК - в части использования средств защиты информации.Помимо основного ФЗ 152 существует ряд нормативно-правовых актов регуляторов (Роскомнадзор, ФСБ, ФСТЭК) регламентирующих правовые, технические и организационные основы обработки ПДн, технические меры по защите ПДн, меры по классификации ПДн, меры по моделированию угроз безопасности ПДн.Компетенция Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор РФ). Роскомнадзор РФ является федеральным органом исполнительной власти, осуществляющим, помимо прочих, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Функцию надзора за соблюдением прав субъектов персональных данных Роскомнадзор реализует в соответствии с нормативным актом - «Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных». Довольно сложно вычленить из ФЗ 152 те или иные статьи, в которых указаны полномочия и сфера компетенции Роскомнадзора. Почти каждое положение ФЗ 152 так или иначе связано или с правами субъекта (которые защищает Роскомнадзор), или с обязанностями оператора ПДн (для которого Роскомнадзор является органом контроля и надзора). Фактически, компетенцией Роскомнадзора является контроль и надзор за соблюдением операторами обязанностей по обработке ПДн.Компетенция Федеральной службы безопасности (ФСБ).Основными задачами ФСБ с точки зрения защиты персональных данных являются: Формирование и реализация государственной и научно-технической политики в области обеспечения информационной безопасности.Организация обеспечения криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в Российской Федерации и ее учреждениях за рубежом. Разработка и утверждение нормативных и методических документов по вопросам обеспечения информационной безопасности информационно-телекоммуникационных систем и сетей критически важных объектов, а также организация и осуществление контроля за обеспечением информационной безопасности указанных систем и сетей. В соответствии с ФЗ 152 ФСБ РФ уполномочена:Устанавливать состав и содержание требований к защите ПДн для каждого из уровней защищенности ПДн при их обработке в ИСПДн.Устанавливать состав и содержание требований организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн.Осуществлять контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности ПДн при обработке ПДн в государственных информационных системах ПДн (в пределах своих полномочий).Осуществлять контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности и не являющимися государственными ИСПДн (по решению Правительства РФ), в пределах своих полномочий.Компетенция Федеральной службы по техническому и экспортному контролю (ФСТЭК).ФСТЭК самостоятельно осуществляет нормативно-правовое регулирование вопросов в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, технической защиты информации. ФСТЭК России осуществляет следующие полномочия: Разрабатывает стратегию и определяет приоритетные направления деятельности по обеспечению безопасности информации. Организует и проводит лицензирование деятельности по осуществлению мероприятий и (или) оказанию услуг в области технической защиты государственной тайны, по созданию средств защиты информации, содержащей сведения, составляющие государственную тайну, по технической защите конфиденциальной информации, по разработке и (или) производству средств защиты конфиденциальной информации. Организует проведение работ по сертификации средств технической защиты информации, обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, а также объектов информатизации и ключевых систем информационной инфраструктуры. Организует разработку и согласование федеральных целевых программ обеспечения безопасности информации, технической защиты информации, защиты государственной тайны. Организует разработку программ стандартизации, технических регламентов и национальных стандартов в области обеспечения безопасности информации. Организует проведение межведомственных экспертиз реального уровня безопасности информации. Осуществляет международное сотрудничество, участвует в проведении мероприятий по международному информационному обмену, а также в разработке и реализации программ международного сотрудничества в области защиты информации.В соответствии с ФЗ 152 ФТЭК РФ уполномочена:Устанавливать состав и содержание требований к защите ПДн для каждого из уровней защищенности ПДн при их обработке в ИСПДн.Устанавливать состав и содержание требований организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн.Осуществлять контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности ПДн при обработке ПДн в государственных информационных системах ПДн (в пределах своих полномочий).Осуществлять контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности и не являющимися государственными ИСПДн (по решению Правительства РФ), в пределах своих полномочий. Расчет трудоемкости проектаРесурсы, требуемые для реализации проекта по созданию СЗПДн описаны в Таблице 14.Таблица 14 - Ресурсы проекта по созданию СЗПДн№ п.пДолжностьФункционалКоличествоЗадействованность (рабочих часов)1Руководитель проектаУправление персоналом1102Ведущий специалист по защите информацииНастройка СКЗИ, МЭ1303Специалист по защите информации Разработка организационно-распорядительной документации1304ТехникУстановка и настройка СЗИ260Сетевая модель проекта представлена на Рисунке 3.Рис. 3 - Сетевая модель проектаСтруктура проекта по созданию СЗПДн состоит из следующих стадий:- предпроектное обследование объекта;- моделирование угроз и нарушителей;- разработка технического проекта и внедрение СЗПДн.Стадии предпроектного обследования и моделрования могут осуществляться как структурным подразделением по информационной безопасности Объекта, так и путем привлечения соответствующих организаций.Стадия проектирования и внедрения СЗПДн должна проводиться организацией, у которой есть лицензия на проведение деятельности по технической защите конфиденциальной информации.Спецификация внедряемого оборудования указана в Таблице 15:Таблица 15 - Спецификация оборудованияПозицияНаименование КоличествоЦенаСтоимость1Континент IPC-100 ЦУС1186 000186 0002АнтивирусКасперского Kaspersky Endpoint Security351 80063 0003Базовый пакет для сертифицированной версии ОС Windows 7332 00066 0004Базовый пакет для сертифицированной версии ОС Windows Server215 00030 0005xSpider 7.8 лицензия на 64 хоста132 00032 000В соответствии с ресурсным планом из таблицы 18, в таблице 20 приведен расчет на внедрение СЗПДн.Таблица 16 - Расчет стоимости внедрения СЗПДн№ п.пДолжностьКоличествоЗадействованность (рабочих дней)Стоимость раб.дня специалистаСтоимость1Руководитель проекта1213 00026 0002Ведущий специалист по защите информации1410 00040 0003Специалист по защите информации 148 00032 0004Техник276 00084 000Итого, затраты на внедрение проекта:Стоимость оборудования - 377 000.Стоимость внедрения СЗПДн - 182 000.Стоимость реализации проекта - 559 000.Список литературыФедеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".Приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".Абрамова А.Г. Современные проблемы осуществления защиты персональных данных в сети: основополагающие принципы защиты персональных данных // Регион и мир. 2020. Т. 11. № 4. С. 21-25.КайбышеваЭ.Р. Законодательные акты, регламентирующие деятельность по организации защиты персональных данных // Студенческий вестник. 2022. № 6-2 (198). С. 19-20.Максутов Б.М. Правовой механизм защиты персональных данных в Казахстане на основе общего регламента по защите персональных данных (GDPR) // В сборнике: internationalscientificreviewoftheproblemsoflaw, sociologyandpoliticalscience. Collection of scientific articles. Xi international correspondence scientific specialized conference. Editor: emmamorgan. 2019. С. 23-35.Носкова Д.И. Защита персональных данных в решениях европейского суда по правам человека // В сборнике: теоретические аспекты юриспруденции и вопросы правоприменения. сборник статей по материалам XXIII международной научно-практической конференции. 2019. С. 21-24.ПыскД.А. Проблемы защиты и обработки конфиденциальных персональных данных потребителей // Инновации и инвестиции. 2019. № 3. С. 118-120.Райз А.А. Сохранность и защита персональных данных несовершеннолетних в социальных сетях // Студенческий форум. 2021. № 21-3 (157). С. 74-76.Соловьев А.Е. Защита персональных данных в российской федерации // Аллея науки. 2019. Т. 1. № 6 (33). С. 587-591.ТолстолуцкаяЮ.С. Особенности совершенствования защиты персональных данных // Академия педагогических идей Новация. Серия: Студенческий научный вестник. 2019. № 3. С. 44-46.Nashed N., Fedorov R. Constitutional pronection of personal data – a case study of data confidentiality in egyptian banks // Всборнике: РазвитиеправовыхсистемРоссииизарубежныхстран: проблемытеорииипрактики. Москва, 2021. С. 201-211.Приложение 1. Кодпрограммы.//.h file code:#include class GradienSearch{static void main(std::vector &args);/** Исходныеданные */private:std::vector threatProb;std::vector threatDamage;std::vector toolPrice;std::vector preventionProb;double minDamage = 0;int stepCount = 0;/** Счетчикчислашагов */std::vector optChoise;/** Значения переменных, вычисленные в результате работы алгоритма */longlongtime = 0;/** Время работы алгоритма *//*** Инициализация исходными данными** @param threatProb массив возможностей проявления угроз* @param threatDamage массив ущербов от непредотвращения угроз* @param toolPrice массив стоимостей средств защиты* @param preventionProb матрица возможностей предотвращения угроз* @param minDamage минимальный предотвращенный ущерб*/public:virtual void init(std::vector &threatProb);virtual void run();private:void step(std::vector &optChoice, double value);public:virtual std::vector getOptChoice();virtual long longgetTime();virtual int getStepCount();virtual double objectiveFunc(std::vector &choice);virtual double constraintFunc(std::vector &choice);};//.cpp file code:void GradienSearch::init(std::vector &threatProb){this->threatProb = threatProb;this->threatDamage = threatDamage;this->toolPrice = toolPrice;this->preventionProb = preventionProb;this->minDamage = minDamage;}/*** Запускалгоритма*/void GradienSearch::run(){long long start = System::currentTimeMillis();std::vector optChoice(toolPrice.size());Arrays::fill(optChoice, 1);step(optChoice, objectiveFunc(optChoice));time = System::currentTimeMillis() - start;}/*** Одиншагработыалгоритма*/void GradienSearch::step(std::vector &optChoice, double value){stepCount++;int index = -1;double minValue = value;// поиск точки окрестности с наибольшим// значением компоненты вектора спадаfor (int i = 0; i < toolPrice.size(); i++){if (optChoice[i] == 1){optChoice[i] = 0;if (constraintFunc(optChoice) >= minDamage){double newMinValue = value - toolPrice[i];if (newMinValue < minValue){minValue = newMinValue;index = i;}}optChoice[i] = 1;}}// если точка была найдена, переходим на следующий шагif (index != -1){optChoice[index] = 0;step(optChoice, minValue);}}/*** Получение значений переменных,* вычисленные в результате работы алгоритма*/std::vector GradienSearch::getOptChoice(){returnoptChoice;}/*** Получение времени работы алгоритма*/long longGradienSearch::getTime(){return time;}/*** Получениечислашагов*/int GradienSearch::getStepCount(){returnstepCount;}/*** Метод для вычисления целевой функции*/double GradienSearch::objectiveFunc(std::vector &choice){double result = 0;for (int i = 0; i < toolPrice.size(); i++){result += toolPrice[i] * choice[i];}returnresult;}/*** Метод для вычисления функции ограничений*/double GradienSearch::constraintFunc(std::vector &choice){double result = 0;for (int threat = 0; threat < threatProb.size(); threat++){double maxPreventionProb = 0;for (int tool = 0; tool < toolPrice.size(); tool++){double tmp = preventionProb[threat][tool] * choice[tool];if (tmp > maxPreventionProb){maxPreventionProb = tmp;}}result += threatDamage[threat] * threatProb[threat] * maxPreventionProb;}returnresult;}Приложение 2. Схема функциональной структуры.